Киберпреступники начали активно использовать новую функцию платформы Microsoft Teams «Chat with anyone» для проведения целевых социально-инженерных атак. Недавний инцидент, расследованный специалистами по кибербезопасности, демонстрирует, как злоумышленники обманом получают доступ к системам организаций, маскируясь под сотрудников IT-поддержки. Этот метод часто применяется группами, связанными с человеко-операционным вредоносным ПО для шифрования данных (ransomware), такими как Black Basta.
Описание
Функция «Chat with anyone», запущенная Microsoft, позволяет пользователям отправлять приглашения в чат на любой email-адрес, даже если получатель не является частью корпоративного домена. Внешние участники присоединяются как гости, что изначально предназначено для упрощения совместной работы. Однако эта же особенность открыла новые векторы для атак.
Инцидент начался 4 ноября 2025 года, когда пользователь получил сообщение в Microsoft Teams от внешнего адреса, выдававшего себя за сотрудника IT-поддержки компании. Злоумышленник убедил жертву начать удаленный сеанс поддержки с использованием легитимного системного приложения Quick Assist (QuickAssist.exe). Для этого пользователю была отправлена фишинговая ссылка, ведущая на поддельную страницу авторизации, где требовалось ввести учетные данные для «скачивания» Quick Assist. На самом деле это приложение уже предустановлено в Windows и не требует отдельной загрузки.
После получения логина и пароля жертвы на компьютер был загружен и выполнен вредоносный файл-сборщик информации (infostealer) под названием «updater.exe». Этот файл, подписанный якобы от имени «WASSERMAN, LLC», был скомпилирован из Python-кода. Следующим этапом атаки стала разведка внутри сети. Злоумышленник выполнил серию встроенных команд для изучения окружения: получение списка контроллеров домена, карты локальной сети и таблицы маршрутизации. Эти действия соответствуют тактикам разведки (discovery) из матрицы MITRE ATT&CK и обычно предшествуют эскалации привилегий или перемещению внутри сети.
Атака была пресечена аналитиками службы Managed Detection and Response (MDR, управляемое обнаружение и реагирование). Подозрительные исходящие соединения были заблокированы, а зараженная рабочая станция изолирована для предотвращения распространения угрозы. Полные намерения злоумышленников остались неясными, но использованные методы характерны для сложных целевых атак.
Для защиты от подобных угроз специалисты рекомендуют администраторам рассмотреть возможность отключения функции «Chat with anyone» в политиках обмена сообщениями Teams. Это можно сделать с помощью PowerShell-команды, которая запрещает пользователям приглашать внешних участников через email. Кроме того, критически важно применять многофакторную аутентификацию, использовать модели Zero Trust (нулевого доверия) и белые списки для утвержденных приложений удаленного доступа. Регулярное обучение сотрудников распознаванию фишинговых методик остается одной из ключевых мер защиты.
Данный случай наглядно показывает, как злоумышленники адаптивно используют новые функции легитимного ПО для обхода традиционных средств безопасности. Прогнозируется, что с глобальным внедрением функции к началу 2026 года количество подобных атак может возрасти. Это подчеркивает необходимость проактивного поиска угроз и постоянного мониторинга подозрительной активности в корпоративных коммуникационных системах. Организации должны быть готовы к тому, что следующим шагом атакующих может стать использование скомпрометированных учетных записей для звонков с применением технологий дипфейк в аудио и видеоформате.
Индикаторы компрометации
Domains
- spextronic.com
SHA1
- 5c68baf77938b4aedef90403d6e8b19c9d24c8a9
